Delegatie is het overdragen van een bevoegdheid, van de datarechthebbende, aan een ander die vervolgens die bevoegdheid kan gebruiken. Wanneer een datadienstaanbieder het in een datadienst mogelijk maakt voor een datarechthebbende om haar rechten te delegeren, moeten de door de datarechthebbende gedelegeerde rechten van tevoren zijn geregistreerd. Wanneer daarna een gedelegeerde datadienstgebruiker een datadienstverzoek verstuurt moet de datadienstaanbieder het delegatiebewijs krijgen of op basis van de ontvangen informatie zelf een autorisatiebesluit kunnen nemen. Het registeren van delegaties en het ophalen van delegatiebewijs is een onderdeel van het organiseren van autorisatie-informatie van een datadienst.
Registratie van delegaties
Gedelegeerde rechten kunnen op drie verschillende plekken geregistreerd worden. De meest geschikte optie voor het registreren van delegaties is afhankelijk van de situatie, en behoeftes van betrokken partijen. Bovendien brengen de drie opties verschillende implementatielasten mee voor verschillende rollen en verschillende interactiemodellen. De drie opties zijn:
De datarechthebbende beheert zelf delegaties
De datarechthebbende registreert haar delegaties bij de datadienstaanbieder
De datarechthebbende registreert haar delegaties bij een onafhankelijk autorisatieregister
De datadienstaanbieder is verantwoordelijk voor het vaststellen waar delegaties geregistreerd kunnen worden in haar datadienst. De datarechthebbende heeft binnen de aangeboden opties keuze over waar ze haar delegaties geregistreerd.
Als gedelegeerde datadienstgebruikers een datadienst kunnen afnemen MOETEN datadienstaanbieders in de datadienstspecificatie vaststellen waar delegaties geregistreerd mogen worden
Als de datarechthebbende gebruik wil maken van de mogelijkheid om haar rechten te delegeren dan MOET de datarechthebbende binnen de opties aangeboden in een datadienst bepalen waar haar delegaties geregistreerd worden
De datarechthebbende beheert zelf delegaties
Wanneer de datarechthebbende haar delegaties zelf beheert moet de datarechthebbende elke gedelegeerde datadienstgebruiker toestemming geven voordat deze een datadienstverzoek kan sturen. Dit is geschikt bij datadiensten met zeer waardevolle data waar de datarechthebbende volledige controle over wil hebben.
Als een datadienstaanbieder de mogelijkheid biedt voor de datarechthebbende om zelf haar delegaties te beheren dan MOET dit worden gedaan volgens het afsprakenstelsel
Interactiemodel
Om dit mogelijk te maken, moet de datarechthebbende een delegatiebewijs leveren aan de datadienstgebruikers aan wie zij haar rechten overdraagt. Daarvoor moet de datarechthebbende haar systemen zo inrichten dat ze haar eigen delegaties kan registreren en een delegatiebewijs kan leveren aan datadienstgebruikers die het aanvragen (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datarechthebbende en de datadienstgebruiker.
Merk op, op dit moment is gekozen voor dit interactiemodel omdat het federatief ecosysteem voor datadelen (DSGO) nog in ontwikkeling is, en de implementatielast wordt gelegd bij de partijen die er waarde uit ervaren. Andere interactiemodellen kunnen deze functionaliteit mogelijk te maken, waarbij de implementatie last bij de datadienstaanbieder ligt. In de toekomst, in een volwassen DSGO, is dit wellicht gewenst, en kan dit worden herzien.
# | Acties | Omschrijving |
1 | Beheren delegaties | De datarechthebbende bepaalt zelf aan wie zij haar rechten overdraagt |
2 | Leveren delegatiebewijs | De datarechthebbende levert een delegatiebewijs aan de datadienstgebruikers aan wie ze haar rechten overdraagt middels een |
3 | Datadienst-verzoek | De gedelegeerde datadienstgebruiker voegt het delegatiebewijs toe in de datadienstverzoek als autorisatie-informatie |
4 | Datadienst-respons | De datadienstaanbieder valideert het ontvangen delegatiebewijs, en gebruikt deze informatie om te komen tot een autorisatiebesluit. Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd |
Merk op, dit interactiemodel is niet geschikt voor delegatie naar een mens als datadienstaanbieder (zie Authenticatie op datadienstniveau voor meer informatie). In de toekomst zal dit worden uitgebreid om dit mogelijk te maken
Het leveren van delegatiebewijs door een data rechthebbende wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de datarechthebbende aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de data rechthebbende voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.
Datarechthebbende MOETEN deelnemer zijn van het DSGO om haar eigen delegaties te beheren
De datarechthebbende MOET delegatie bewijs beschikbaar stellen volgens een /delegation endpoint
Als een datadienstaanbieder de mogelijkheid biedt voor de datarechthebbende om zelf haar delegaties te beheren dan MOET de datadienstaanbieder datadienstverzoeken met HTTP header delegation_evidence met een geldige delegationEvidence object accepteren
De datarechthebbende registreert haar delegaties bij de datadienstaanbieder
Wanneer delegaties geregistreerd zijn bij de datadienstaanbieder bepaalt en deelt de datarechthebbende de delegatieregels met de datadienstaanbieder op basis waarvan de datadienstaanbieder autonoom een gedelegeerde datadienstgebruiker toestemming kan geven. Dit is geschikt in het geval de datadienstaanbieder over de software beschikt welke technische integratie mogelijk maakt tussen de datarechthebbende en de datadienstaanbieder.
Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij de datadienstaanbieder dan MOET de datadienstaanbieder dit mogelijk maken voor de datarechthebbende
Merk op, het afsprakenstelsel definieert niet hoe de registratie van delegaties bij de datadienstaanbieder moet plaatsvinden. Dit is omdat bij deze delegatie registratie keuze geen afhankelijkheden liggen bij andere partijen, en daarmee de implementatie hiervan geen impact heeft op interoperabiliteit in het DSGO.
Interactiemodel
In het geval de datadienstaanbieder delegaties beheert moet zij bij ieder datadienstverzoek in staat zijn de informatie in dat verzoek te toetsen tegen de delegatieregels van de datarechthebbende om op basis daarvan een besluit te nemen. Hiervoor moet de datadienstaanbieder haar systemen en/of processen zo inrichten dat een datarechthebbende haar delegatieregels kan registeren, en deze worden getoetst bij elk datadienstverzoek (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datadienstaanbieder.
# | Acties | Omschrijving |
1 | Registreren delegatieregels | De datarechthebbende registreert haar delegatieregels bij de datadienstaanbieder |
2 | Datadienst-verzoek | De gedelegeerde datadienstgebruiker stuurt een datadienstverzoek met daarin autorisatie-informatie die getoetst kan worden tegen de delegatieregels |
3 | Toetsing delegatieregels | De datadienstaanbieder toetst de autorisatie-informatie in het datadienstverzoek tegen de delegatieregels en neemt op basis daarvan een autorisatiebesluit |
4 | Datadienst-respons | Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd |
De datarechthebbende registreert haar delegaties bij een onafhankelijk autorisatieregister
Wanneer de datarechthebbende haar delegaties registreert bij een autorisatieregister vraagt de datadienstaanbieder bij een datadienstverzoek van een gedelegeerde datadienstgebruiker het delegatiebewijs op bij het autorisatieregister. Dit is geschikt in het geval waar schaalbaarheid belangrijk is. Een autorisatieregister kan het beheer van een groot aantal delegaties op haar nemen.
Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij een autorisatieregister dan MOET dit worden gedaan volgens het afsprakenstelsel
Interactiemodel
Als de datarechthebbende haar delegaties geregistreerd bij een autorisatieregister moet de datadienstgebruiker voor het versturen van een datadienstverzoek delegatiebewijs ophalen bij het autorisatie register. De datadienstgebruiker moet daarvoor een koppeling ontwikkelen die aansluit op de systemen van het autorisatieregister (zie het interactiemodel in het figuur hieronder). Dit heeft een implementatie implicatie voor de datarechthebbende en datadienstaanbieder.
Merk op, Op dit moment is gekozen voor dit interactiemodel omdat het federatief ecosysteem voor datadelen (DSGO) nog in ontwikkeling is, en de implementatielast wordt gelegd bij de partijen die er waarde uit ervaren. Andere interactiemodellen kunnen deze functionaliteit mogelijk te maken, waarbij de implementatie last bij de datadienstaanbieder ligt. In de toekomst, in een volwassen DSGO, is dit wellicht gewenst, en kan dit worden herzien.
# | Acties | Omschrijving |
1 | Registreren delegaties | De datarechthebbende registreert haar delegatieregels bij een autorisatieregister |
2 | Opvragen delegatiebewijs | Het autorisatieregister levert een delegatiebewijs aan de datadienstgebruikers aan wie de rechten van de datarechthebbende zijn overgedragent middels een |
3 | Datadienst-verzoek | De gedelegeerde datadienstgebruiker voegt het delegatiebewijs toe in de datadienstverzoek als autorisatie-informatie |
4 | Datadienst-respons | De datadienstaanbieder valideert het ontvangen delegatiebewijs, en gebruikt deze informatie om te komen tot een autorisatiebesluit. Bij een positief autorisatiebesluit wordt de datadienst uitgevoerd |
Merk op, dit interactiemodel is niet geschikt voor delegatie naar een mens als datadienstaanbieder (zie Authenticatie op datadienstniveau voor meer informatie). In de toekomst zal dit worden uitgebreid om dit mogelijk te maken
Het leveren van delegatiebewijs door een autorisatieregister wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de autorisatieregister aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de autorisatieregister voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.
Autorisatieregisters MOETEN delegatie bewijs beschikbaar stellen volgens een /delegation endpoint
Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij een autorisatieregister dan MOET de datadienstaanbieder datadienstverzoeken met HTTP header delegation_evidence met een geldige delegationEvidence object accepteren